Объекты групповой политики (GPO – GroupPolicyObjects) + Административные шаблоны + Шаблоны безопасности
Primary tabs
Объекты групповой политики (GPO – GroupPolicyObjects) представляют собой набор конфигурационных параметров операционной системы и ее приложений.
Существуют два типа GPO:
1. AD GPO могут быть ассоциированы с объектами каталога контейнерного типа:
- • домен
- • организационная единица
- • сайт
2. Локальные GPO – хранятся на каждом компьютере. Поддерживают сокращенный набор настроек, имеют наименьший приоритет, если компьютер включен в домен.
Существуют два вида параметров групповой политики:
- конфигурационные параметры компьютера
- и пользовательские параметры.
Порядок применения GPO(иерархия):
- • GPO уровня узла
- • GPO уровня сайта
- • GPO уровня домена
- • GPO уровня организационных единиц
На порядок применения можно влиять с помощью =
- запрещения наследования (BlockInheritance) для домена или OU
- запрещения перекрытия (Nooverride, enforced)
- и замыкания на себя (loopback).
Кроме того, применением GPO можно управлять с помощью т.н. "Security filtering"
Наследование:
- • Наследуются параметры, которые определены для родительского контейнера, но не определены для дочернего.
- • В случае множества значений параметра, настройки родительского GPO дополняют GPO дочернего.
Последовательность применения политик при загрузке ОС и входе пользователя:
- • Запуск службы MSRPC
- • Загрузка списка GPO с DC
- • Применение конфигурационных параметров в порядке: локальный GPO, GPO сайта, GPO домена, GPO подразделения
- • Выполнение сценариев (по умолчанию таймаут 10 минут)
- • Приглашение ко входу в систему, вход
- • Загрузка списка GPO пользователя
- • Применение конфигурационных параметров пользователя
- • Отображается пользовательский интерфейс
Организация GPO:
- • Однородная
- • Комбинированная
- • Раздельная
Могут использоваться различные стратегии по организации GPO:
- • многоуровневая (хранение централизованное)
- • единая (хранение распределенное) структура ОГП.
Расположение параметров политик:
Реестр (registry) - иерархическая БД, состоящая из т.н. «ульев» или «кустов» (англ. hives).
Куст содержит ключи, подключи и значения параметров. Каждый куст содержится в файле %systernгооt%\config. Редактируется программой regedit.
Административные шаблоны (AdministrativeTemplates):
• Административный шаблон представляет собой текстовый файл *.adm (на языке ADM) в Unicode и хранится в папке %SystemRoot%\inf (например, system.adm). Файл содержит перечисление ключей и параметров реестра.
• AT позволяют администратору посредством групповой политики конфигурировать hivesHKLM и HKCU системного реестра компьютеров домена.
• Обычно используются ветви HKLM\Software\Policies (управление параметрами компьютера) и HKCU\Software\Policies (управление средой пользователей).
• \Policies очищаются системой при каждом применении или отзыве объекта групповой политики. В случае, когда компьютер не подпадает под действие ни одного объекта групповой политики, для настройки системы используются стандартные значения параметров, определенных в соответствующих ключах реестра.
Примеры АТ:
- • System.adm - административный шаблон, используемый для настройки различных параметров системы
- • Wmplayer.adm - административный шаблон, используемый для настройки приложения WindowsMediaPlayer
- • Wuau.adm - административный шаблон, используемый для настройки службы автоматического обновления
Шаблоны безопасности:
Шаблоны безопасности позволяют создавать типовые профили безопасности, соответствующие требованиям организации. Для формирования шаблонов используется консоль «Анализ и настройка безопасности» и готовые шаблоны из %windir%\Security\Templates.Затем шаблон можно импортировать в компонент групповой политики «Параметры безопасности».
Работа с шаблонами групповых политик обычно выполняется в следующей последовательности:
- • подготавливаются необходимые шаблоны безопасности;
- • создается БД безопасности;
- • применяются шаблоны безопасности:
используются: утилита secedit, консоль «Анализ и настройка безопасности» или групповая политика;
- • secedit /generaterolleback - шаблон отката
IntelliMirror
1. Возможности IntelliMirror (набор технологий управления ИТ-инфраструктурой снижающих т.н. стоимость эксплуатации (totalcostofownership, TOO))
• Управление данными (DataManagement)
- ? перенаправление каталогов (FolderRedirection)
- ? автономные файлы (OfflineFolders)
- ? дисковые квоты
• Управление пользовательскими параметрами настройки (Desktop
SettingsManagement)
• Установка и сопровождение ПО (Software Installation and Maintenance)
• Службы удаленной установки (RIS)
2. Технологии, входящие в состав IntelliMirror
- • Служба каталогов ActiveDirectory
- • Групповая политика GroupPolicy
- • Перемещаемые профили пользователя RoamingUserProfiles
- • Перенаправление каталогов FolderRedirection
- • Автономные файлы OfflineFolders
Изменения в Server 2008:
• Режимы совместимости (domain functional level (DFL), forest (FFL))
? Windows 2000 native
? Windows Server 2003
? Windows Server 2008
• Детальныеполитикипаролей: AD DS Fine-Grained Password
Password Settings Object (PSO)
• Kerberos
AES 256
• НовыйXML-формат, централизованное местонахождение, локализация шаблонов admx,adml
• Изменениявслужбах AD:
? Active Directory Domain Services (AD DS)
? Active Directory Lightweight Directory Services (AD LDS) - было ADAM
? Active Directory Federation Services (AD FS) — Single Sign On, SSO
? Active Directory Certificate Services (AD CS)
? Active Directory Rights Management Services (AD RMS)
- Log in to post comments
- 6505 reads